- 2019年1月22日
- WordPress脆弱性情報
WordPress 用プラグイン spam-byebye におけるクロスサイトスクリプティングの脆弱性が明らかになりました
2019年1月10日にWordPress用のスパムコメント対策プラグイン「spam-byebye」にクロスサイトスクリプティングの脆弱性が明らかになりました。
【参照】WordPress 用プラグイン spam-byebye におけるクロスサイトスクリプティングの脆弱性
https://jvndb.jvn.jp/ja/contents/2019/JVNDB-2019-000001.html
脆弱性が存在するバージョンは2.2.1以前です。プラグインの配布サイトより最新のバージョン2.2.2が公開されています。古いバージョンのプラグインを使用中の人は早急にアップデートしましょう。
【参照】spam-byebye
https://wordpress.org/plugins/spam-byebye/
スパム攻撃の歴史とセキュリティ対策
今回、脆弱性が明らかになったspam-byebyeプラグインはWordPressで運用中のWebサイトに送信されたコメントスパムを自動的に除去するためのプラグインです。
日本人が開発した日本語に特化したプラグインであり、国内で広く普及しています。そのため今回の脆弱性の発覚にともない、一部のレンタルサーバーでは、プラグインのバージョンアップの注意喚起したところもあったようです。
現在でも非常に迷惑なスパムですが、かなり昔からやっかいな行為と知られていました。私個人の体験では1990年代後半にはすでにかなりの数のスパムメールを受信してました。
当時は技術的な対策方法も乏しく、メールソフトにずらっと並んだメール一覧から、スパムを見つけだして一つ一つ削除するということが毎日の日課でした。
メールで受信した広告といえば、かつてメールの件名に「未承諾広告※」と記載されたスパムメールを頻繁に受信していた時期がありました。
これは2002年に施行された「特定電子メールの送信の適正化等に関する法律」で定められたルールによるものでした。
受信者の許可を得ないメールを送信するときは件名に「未承諾広告※」を付けなければいけないルールになったのです。
受信者は携帯電話のフィルタリング設定で「未承諾広告※」の文字列をフィルタリングして受信しないように設定したのですが、実際にはあまり意味がありませんでした。
なぜならスパムメールの送信者は「未承諾広告※」という文字列を少し改変させて送信するようになり、完全一致によるフィルタリングルールでは効果が無くなってしまったからです。
2008年12月の特定電子メール法改正によって、件名に「未承諾広告※」と付けていても、相手の承諾なしにメールを送信すること自体が禁止になりました。
最近では「未承諾広告※」のメールはすっかり見かけなくなりましたが、スパムメール自体はあまり減ってないように感じます。
スパムメールをいくら送信しても逮捕なんてされない。
あるいは他にもスパムメールを送信している業者がたくさんいるから、自分は捕まることはない。スパムメールの送信者の真意はわかりませんが、現在でも相変わらず大量に届くスパムメールを見て、そんな風に邪推してしまいます。
受信したスパムメールの本文がただの広告であれば良いのですが、実際には怪しいサイトへ誘導するURLが記載されていたり、よくわからない添付ファイルがついたりしてるケースもあります。
記載されたURLにアクセスするだけでマルウェアに感染するドライブバイダウンロードや、添付ファイルの実行によりマルウェアに感染することもあります。
そうすると次は自分がスパムメールの送信者になってしまうかもしれません。
対策方法としては、やはりウィルス対策ソフトを有効にしてマルウェアの感染を防ぐことが重要です。そして気をつけたいのが、送信元が取引先や家族のメールアドレスだとしても、完全には信用しないことです。
なぜなら信頼できる送信元であっても、マルウェアなどに感染したことで、悪意のあるメールを送信している場合があるからです。
以前に比べればウィルス対策ソフトの性能が向上してますし、スパムメールのフィルタリングの精度も格段に上がっています。
しかし技術の向上だけでスパムメールによる被害が防げるわけではありません。
受信したメールの中にスパムメールがあったら、無言で削除。あいかわらずですが、この方法が一番スパムメールには効くようです。